Il network adv di Yahoo! ha distribuito malware. Tutti i dettagli

Solo quest’oggi emergono i dettagli circa un’aggressione indirizzata agli inconsapevoli utenti di Yahoo! sferrata, da parte di criminali informatici, attraverso il network pubblicitario gestito dalla società di Marissa Mayer.
La scorsa settimana è venuto alla luce un attacco espressamente concepito per bersagliare gli utenti europei. A fare da testa di ponte per causare danni agli utenti, è stato il sistema utilizzato da Yahoo! per la visualizzazione di inserzioni pubblicitarie. L’incidente è stato confermato da Yahoo! stessa che così riassume l’accaduto: “tra il 31 dicembre ed il 3 gennaio scorsi, Yahoo! ha distribuito alcuni banner pubblicitari che non rispondevano alle clausole contrattuali firmate dagli inserzionisti. Nello specifico, tali risorse sono state utilizzate per distribuire malware“.

Come confermato dagli esperti di Light Cyber, il banner ospitato sul network Yahoo! reindirizzava il browser degli utenti verso un sito web ospitante il kit per lo sfruttamento di vulnerabilità software chiamato “Magnitude“.
Così come molti altri pacchetti similari, tale strumento provava a porre in esecuzione codice capace di sfruttare la maggior parte delle lacune di sicurezza note presenti nei browser web, nei vari plugin (Java in primis) e nel sistema operativo. Gli attacchi sono risultati vani, ovviamente, su tutti quei sistemi client che vengono costantamente mantenuti aggiornati attraverso l’installazione delle patch e delle ultime versioni dei software in uso (si veda anche F-Secure: l’87% dei sistemi aziendali non sono aggiornati; Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit; Navigazione sicura e protezione del browser: controllare, aggiornare e rimuovere i plugin).

In meccanismo è molto simile a quello messo in piedi dagli autori della pagina truffaldina descritta nell’articolo “Obsoleto rilevato plugin Java”: una pagina web pensata per distribuire malware con la differenza che, in questo specifico caso, non vengono sfruttate vulnerabilità per automatizzare l’installazione di malware e spyware.

Yahoo! ha assicurato di aver risolto il problema e di continuare a monitorare la situazione affinché incidenti simili a quello capitato nei giorni scorsi non abbiano a ripetersi.

Interessante evidenziare una caratteristica del malware diffuso attraverso gli adv Yahoo!: gli autori dello stesso hanno sfruttato il codice malevolo per trasformare tutti i sistemi infettati in “minatori di monete BitCoin”. Anche qui, l’obiettivo è quello di arricchirsi sfruttando le risorse macchina dei sistemi infetti (vedere anche Società attiva nel settore dei videogiochi trasformava i PC in miner Bitcoin).

La presenza degli elementi seguenti sul sistema Windows è segno evidente dell’infezione:

%windows%Installer{4A74FBA7-71A0-BEA1-F538-72E3D519AA4F}syshost.exe
%localappdata%cygwin1.dll (*)
%localappdata%wuauclt.exe (*)
%localappdata% emp????????.lnk (8 caratteri)
%localappdata% emp????????.exe (8 caratteri)
%localappdata% empvedefuzunwi.exe
%programdata%btmp0jtkyygiu.exe
c: empzcompute.exe

(*) il nome di questo file è utilizzato da file assolutamente legittimi. Questi, però, non si trovano mai nel percorso indicato.